On kätevää perustaa vaikkapa whatsapp-ryhmä omien perheenjäsenten viestinvaihtoon tai sopia Discordissa pelikaverien sulkapallovuorojen jaosta.

Mutta jos olet kunnan tai hyvinvointialueen valtuustoryhmässä, kunnanhallituksessa tai nyt vaalien aikaan mukana tuki- tai kampanjaryhmissä, viestisovelluksen valinta muuttuu astetta vaikeammaksi – ja tärkeämmäksi.

Demokraatti kysyi F-Securen kyberuhkatiedustelupäälliköltä Laura Kankaalalta ja tietoturva-asiantuntija Benjamin Särkältä, millä perusteilla poliitikkojen tai paikallispäättäjienkin pitää kommunikointikanaviensa valinta tehdä.

Kummatkin korostavat, että paljon riippuu siitä, millaista tietoa viestiryhmissä käsitellään. Kaikki tieto ei ole samanarvoista, Särkkä kiteyttää.

– Se ei ehkä ole hirveän ongelmallista, että poliitikot käyttävät päivittäiseen mitä kuuluu -viestintään tai kahvipaikan sopimiseen jotain turvattomampaakin pikaviestintä. Heti, kun siellä käsitellään jotakin oikeasti kriittistä, siihen pitäisi vähintäänkin suhtautua vakavasti ellei jopa varauksella, Särkkä sanoo.

Laura Kankaala toteaa, että riski tai uhka ei välttämättä ole se, että joku toinen tavallinen kansalainen pääsee tietoon käsiksi, vaan että päätyykö se esimerkiksi jonkin ulkomaalaisen yrityksen haltuun.

– Tässä on monia ulottuvuuksia ja lähtökohtaisesti tietosuojaa avittaa se, että on edes pysähdytty miettimään sitä, mikä luokitus tällä tiedolla – vaikka sitten puolueen sisäisellä tiedolla – pitäisi olla.

Särkkä arvioi, että nykyään tilanne on melko hyvä aiempiin vuosiin verrattuna.

– Onneksi turvallisuus otetaan tänä päivänä oikeasti vakavasti ja asioita edistetään sen myötä myös sekä softa-toimittajien että kuluttajien vaatimusten nousemisen takia. Se on tosi positiivinen asia, hän sanoo.

Tässä jutussa viestisovelluksista tarkastellaan erityisesti Whatsappia, Telegramia ja Signalia.

– Näissä on hyvin perustavanlaatuisia eroja siinä, miten ne salaavat tietoja ja mitä tietoja ne mahdollisesti keräävät, mitkä voivat olla suoraan tai epäsuorasti mielenkiintoisia erilaisille tahoille, Kankaala sanoo.

ALOITETAAN Telegramista. Laura Kankaala huomauttaa, että oletus siitä, että kyseessä olisi vahvasti salattu chat-palvelu, ei pidä täysin paikkaansa.

– Viestit on toki salattu niin, että jos joku (ulkopuolinen) kuuntelee tietoliikennettä, he eivät näe, mitä siellä viestittelet. Mutta jos haluat salata viestit niin, etteivät viestit ole Telegramin luettavissa, tämä salaus ei ole oletusarvoisesti päällä.

Olennaista viestiliikenteen turvallisuuden kannalta on viestien päästä päähän salaus (end to end encryption), mikä tarkoittaa, ettei viestien sisältöön pääse käsiksi kukaan muu kuin viestin lähettäjä ja vastaanottaja. Telegramissa salainen keskustelu -asetus on osattava itse laittaa erikseen päälle, eikä asetusta saa lainkaan ryhmäkeskusteluihin.

– Kun viestit eivät ole päästä päähän salattuja, se tarkoittaa, että Telegram – tai esimerkiksi viranomainen, joka haluaa tehdä yhteistyötä Telegramin kanssa – pystyy mahdollisesti pääsemään viesteihin käsiksi.

Telegram on ollut otsikoissa muun muassa sen Venäjä-kytkösten vuoksi. Telegramin suhde Venäjän viranomaisiin on herättänyt julkista keskustelua, mutta yhtiö on kiistänyt yhteydet Kremliin.

STT:n elokuussa haastatteleman toimittajaverkosto Bellingcatin tutkija Michael Colborne ei näe Telegramin olevan täysin Kremlin taskussa, vaan kuvailee Telegramin ja Venäjän valtion välistä suhdetta monimutkaiseksi.

Colborne itse suhtautuu Telegramiin varauksella pääasiassa siksi, ettei täysin luota viestinnän salassa pysymiseen.

Telegramin toimitusjohtaja, venäläistaustainen Pavel Durov, pidätettiin Ranskassa viime elokuussa. Häntä epäillään muun muassa laittoman sisällön sallimisesta viestialustallaan.

WHATSAPISSA viestit ovat päästä päähän salattuja, joten viestien sisältö on lähtökohtaisesti turvassa.

Kankaala ja Särkkä kuitenkin muistuttavat, että sovellus kerää käyttäjistään paljon metatietoa – käyttäjien nimiä, sijaintitietoja, keskusteluryhmien nimiä ja niin edelleen.

– En näe tässä mitään valtavan isoa riskiä peruskäyttäjälle, mutta kun kysyt poliitikoista tai muuten VIP-ihmisistä, niin heidän kohdallaan riskit saattavat olla erilaisia, ehdottomasti, Kankaala sanoo.

Särkkä huomauttaa, että ulkopuoliselle taholle kiinnostavaa ei ole pelkästään se, mistä keskustellaan, vaan mahdollisesti myös se, ketkä keskustelevat keskenään erilaisissa ryhmissä.

– Varsinkin tässä maailmantilanteessa, jossa amerikkalaiset ovat näyttäneet arvaamattomuutensa, olisin ainakin itse hieman varuillani siitä, minkälaista tietoa olisin valmis jakamaan Metan toimitusjohtaja Mark Zuckerbergille ja kumppaneille, hän sanoo.

– Metatieto siitä, ketkä keskustelua käyvät, saattaa jo itsessään olla asia, joka voi olla kiinnostava amerikkalaiselle valtionhallinnolle, mikäli halutaan esimerkiksi poliittisesti ryhtyä vaikuttamaan johonkin tiettyyn ihmisryhmään tai poliittiseen vakaumukseen.

SIGNAL saa peukun pystyyn kummaltakin tietoturva-asiantuntijalta. Sovelluksessa keskustelut ovat päästä päähän salattuja ja itseasiassa myös Whatsapp käyttää juuri Signalin luomaa, avoimeen lähdekoodiin perustuvaa salausprotokollaa.

– Signal on avoimen lähdekoodin softa, joka on vahvasti auditoitu ja rakennettu turvallisuus edellä. Sitä on helppo suositella, koska se ei ole minkään valtiollisen tai kaupallisen intressin ohjauksessa, Benjamin Särkkä kiteyttää.

Särkkä muistuttaa, että Signal on jo oletusasetuksiltaan varsin turvallinen, mutta se on mahdollista saada vielä turvallisemmaksi asetuksia muokkaamalla.

Laura Kankaala lukee Signalin eduksi myös sen, ettei sovellus kerää tietoja käyttäjistä.

– Signal pyörii täysin lahjoitusten varassa eli sen ydinbisnes ei ole myydä ihmisten tietoja. Jos mietin erityistehtävässä olevaa henkilöä, missä hänen kannattaa käydä vaikka arkaluontoisia keskusteluja, niin vahvasti suosittelen Signalia.

Kankaala uumoilee, että Whatsapp tulee useimmilla käyttöön siksi, että se on monesti asennettu valmiiksi puhelimeen. Se tuntuu helpolta ja tutulta.

Kankaala kuitenkin rohkaisee siirtämään vaikkapa ehdokkaiden tai valtuustoryhmien ryhmäkeskustelut Signaliin.

– Se on toiminnallisuudeltaan tismalleen kuin Whatsapp. Siellä saa ryhmächatteja, voi lähetellä giffejä ja keskustella ihmisten kanssa. Jos kokeili Signalia ehkä viisi tai kymmenen vuotta sitten, niin se ei ehkä ollut käyttökokemukseltaan yhtä hyvä, mutta tänä päivänä se toimii oikein hyvin ja ajaa kaikki samat asiat kuin Whatsappikin.

SDP:N kunta-, alue- ja järjestöasioiden sihteeri Kimi Uosukainen kertoo, ettei SDP:llä ole erikseen ohjeita siitä, mitä viestisovelluksia kuntien ja alueiden ehdokasporukoiden, aktiivien ja valtuustoryhmien kannattaa käyttää.

– Uskon, että on varmasti enemmän sääntö kuin poikkeus, että valtuustoryhmillä ja varmasti ehdokasporukoilla on whatsapp-ryhmät, joissa viestintä tapahtuu. Tiedän, että on kuntia ja muita, jotka ovat jo siirtyneet esimerkiksi Signaliin.

Viestittelyn sisältöä ohjaavat Uosukaisen mukaan turvallisemman tilan periaatteet – SDP ei hyväksy missään toiminnassaan epäasiallista käyttäytymistä, häirintää tai syrjintää.

Muita virallisia ohjeita ei puolueelta ole – viranomaisten suosituksia ja ohjeistuksia tietysti noudatetaan. Uosukainen huomauttaa, että myös kunnilla ja alueilla voi olla omat sääntönsä, joissa linjataan, mitä saa viestiä ja missä.

– Vaikka kunnanhallituksella saattaa olla whatsapp-ryhmä. Näissä varmasti kuntien ja hyvinvointialueiden on syytä olla tarkkana ja myös miettiä tietoturvakysymyksiä.

Uosukainen arvioi, että suurin osa esimerkiksi valtuustoryhmien välisestä viestittelystä on varsin arkista. Hän muistuttaa, että valtuustossa käsiteltävät asiat ovat julkisia. Silloin ei-julkinen pohjatyö ennen valtuuston kokousta on hänen mielestään arkista viestintää.

– Ryhmät koordinoivat keskenään kantoja, perehtyvät asioihin ja vaihtavat ajatuksia. Se saattaa olla ei-julkista, koska asiat on viisasta pitää puolueen sisäisessä prosessissa. On selkeää, että salassa pidettäviä asioita ei käsitellä. Jos on jotain erityistä herkkyyttä olevia kysymyksiä, ne on syytä käsitellä kasvokkain tai Teamsilla, Uosukainen kuvailee.

Uosukainen pitää relevanttina kysymystä siitä, pitääkö pikaviestimien kytkösten – kaupallisten ja valtiollisten – riskejä puntaroida tarkemmin.

– Eletään varmasti sellaista maailmanaikaa, jossa entistä enemmän näihin asioihin pitää kiinnittää huomiota ja myös siihen, että tietyt asiat käsitellään vain jossain tietyissä kokoustilanteissa.

– Lähtökohtaisesti kuntapäätöksentekoon ei joitain poikkeuksia lukuun ottamatta liity liikesalaisuuksia tai kansallisen turvallisuuden kysymyksiä. Toki jos esimerkiksi jostain varautumisesta pidetään seminaaria, on varmasti ihan viisasta miettiä, miten laitteita käytetään.